首頁 > 關于我們 > 新聞動態 > 公司新聞

夯實基座,重構一體化信任體系——啟明星辰集團內網身份認證體系全面切換中國移動超級SIM卡

發布時間 2023-03-28

新基座


2023年3月27日,啟明星辰集團北京總部的員工剛一到崗,打開內網系統,馬上就看到了新的登錄提示。


PC端和手機端通過超級SIM卡號登錄


上圖場景代表集團內部業務系統(簡稱內網)已全面切換了新的身份認證系統——中國移動超級SIM卡號及認證體系。簡言之,集團所有員工都采用中國移動超級SIM卡作為身份標識和認證工具。


中國移動超級SIM卡是普及度高、成本低、可便捷加載各類應用、具有金融安全等級的IT智能卡,集“U盾、辦公令牌、一卡通”于一身的安全號卡。與普通SIM卡相比,超級SIM卡安全等級更高,具備登錄辦公系統快捷認證的功能。


時間回溯到一周前,整個集團發文組織北京總部及分支機構全員更換中國移動超級SIM卡。而公司所有內部業務系統也開始有序地切換到依托超級SIM卡的訪問控制機制。


 一周時間集團超額完成了超級SIM卡換卡工作


經過一周的切換準備,在周末的緊鑼密鼓工作下,周一新信任體系開始運轉,這時舊系統也依然可用,現在進入到重構集團內網一體化信任體系的交割過渡期。


必要嗎?可行嗎?


像所有中大型機構一樣,啟明星辰集團內部業務系統越來越多,而不同時期、不同渠道、不同風格的內網系統,其身份認證和訪問控制也不可避免地出現多樣化。這給業務方便性及安全性都帶來了不小的影響。同時,安全訪問控制產品存在孤島效應,缺乏統一聯動的身份信任體系,在信息系統網絡化更加開放復雜的接入場景下,導致風險暴露面持續增加。因此,一體化信任體系的重構,勢在必行。


那么,采用中國移動超級SIM卡,有什么好處?歸根結底,主要有以下三點:


1、高安全性,強功能性。我們現在的日常生活中,手機已經成了必不可少的隨身物品,手機采用了超級SIM卡后,除了具備普通SIM的通信功能外,還擁有加密芯片這一金融安全等級的獨特優勢。超級SIM卡有硬件芯片作為安全載體,具備高安全(EAL4+)能力,同時可以支持數字證書、國密算法加密。另外,手機獨有的機卡通道和傳統的短信認證及App認證相比也更加安全。


2、便捷性,低成本。中國移動的基礎設施體系完善,在普及性、便捷性的基礎上,可以方便升級換卡。同時,中國移動已經提供了“證書分發”為代表的全程管理,而手機是最容易的載體,業務接入的方式可以由企業根據自身業務特點,個性化選擇效率更高、更安全的登錄方式。通過手機的便攜性,比U盾等其他方式更便捷易實施。


3、可靠的基礎設施服務和可擴展性。隨著未來TO C端的日常應用以及TO B端的云應用越來越多,外部生態鏈的人員越來越多。超級SIM卡體系設計已經具備了可擴展的架構能力,可以很容易地形成創新應用生態。


綜上所述,在中國移動的強大服務保障體系下,進行基于超級SIM卡號身份的內網一體化信任體系重構行之有效,綜合成本合算。


重構的進展


為全面提升網絡安全能力和效果,尤其是內網及核心業務的安全管控能力,啟明星辰集團結合自身情況,從“端、網、應用、數據”四大方面進行升級改造。


“端”——集團全員在一周內,超額完成中移動超級SIM號卡的更換;


“網”——集團內網全面部署適配超級SIM卡的安全認證中心、內網威脅流量分析系統、內網安全審計系統;


“應用”——在集團內部應用前部署了超級SIM應用防護網關;


“數據”——部署安全運營系統與網絡UEBA系統,收集、匯總相關安全數據后,由安全運營團隊對威脅和異常數據進行多級分析與研判,并對安全問題進行閉環處理。


啟明星辰集團內網安全升級方案


完成全部升級改造后,啟明星辰集團內部安全狀態將呈現全新的面貌。對于互聯網用戶、內網用戶、分支機構用戶,訪問業務應用及高敏感服務(如代碼服務、財務系統等)均需要通過綁定身份的超級SIM號卡進行認證才可以正常使用,且一切操作行為均被應用網關記錄以備審計。


對于集團遠程辦公和移動辦公業務同樣替換為SIM卡認證,實現了對操作行為的全面監控。通過配置應用網關權限,集團可實現對個人訪問范圍及訪問行為的全面管理與監控;配合內網安全運營團隊,可實現對高敏感業務安全態勢的實時展現,對違規行為、異常行為的常態化監控,對特殊數據的體系化保護。


重構的未來


在此次實踐過程中,啟明星辰集團利用超級SIM卡、應用網關實現了內網訪問行為的身份綁定、高敏感應用的鑒權保護及行為數據的全方位審計與分析,并結合安全運營實現了對內網安全風險的全面呈現與管控。


在方案實施中,啟明星辰集團在極少改動現網業務的情況下,通過采用中國移動超級SIM卡與身份基礎設施,快速、便捷地解決了傳統身份認證與權限鑒定的安全問題,實現了對業務系統整體訪問控制及用戶行為監管的訴求,大大提升了安全訪問體驗,配合安全運營團隊對具體問題的閉環管理,共同構建了一套行之有效的內網安全運營體系,整體提升了集團具體網絡安全防護等級。


隨著數字化轉型不斷加速,新興技術與創新業務不斷打破企業原有安全邊界,為企業信息安全帶來前所未有的挑戰。業務上云后各種數據的集中部署打破了數據的邊界,同時放大了靜態授權的管控風險,數據濫用風險變大。不同密級數據融合導致權限復雜與污染,提升了整體安全等級,打破了安全和業務體驗的平衡。  


零信任是一種業內達成共識的安全模型,是應對上述挑戰的重要方法,其基于訪問主體身份、網絡環境、終端狀態等盡可能多的信任要素對所有用戶進行持續驗證和動態授權。啟明星辰集團本次內網一體化信任體系的構建是零信任技術思想的落地,也將延伸至云環境及更廣泛的供應鏈安全。


框架和境界


超級SIM卡是中國移動元信任安全框架思想的落地能力與產品服務。它是面向云網一體安全防護的理論體系,以信任為核心,對企業網絡內外的任何人、設備和系統,基于身份認證、設備認證因勢授權,重新構建企業訪問控制的信任基礎,從而確保身份可信、設備可信、應用可信和鏈路可信,保護企業的核心資產和數據的安全。


中國移動副總經理李慧鏑在2021年世界互聯網大會上提出了在“護好網絡”方面,立足運營商的“網絡+安全”的優勢,結合網絡安全演變、技術特點與發展規律,以及移動在“云網端安”關鍵信息基礎設施安全防護方案的探索,總結形成了“不被控”“不可達”“不可知”的網絡安全“三重境界”,推動網絡安全從“單點可控”邁向“全程可信”。


啟明星辰集團在內網改造上的實踐,是對中國移動網絡安全“三重境界”及“元信任安全”理論與框架的落地,構建了以身份實名信任為核心,以網絡、業務與數據防護為目標,集內網安全運營與動態可信邊界為一體的零信任技術落地實踐。


通過圍繞超級SIM卡安全芯片、安全的號卡認證及統一身份管理這一信任根基的建設,實現了身份可信、過程可溯的能力,為TO B領域企業內外網辦公、內外部用戶訪問及多場景共存的綜合協同網絡安全防護體系提供了落地案例,更好地解決了傳統防護手段單點、無法聯動、內網疏漏、運營缺乏、安全可見性低等問題。


基座重啟


當今世界正面臨“百年未有之大變局”,網絡空間已成為繼陸、海、空、天之后的“第五空間”。在全球網絡安全威脅持續加劇,網絡攻防對抗強度不斷升級的新形勢下,啟明星辰集團基于長期的數字化及網絡安全建設,已基本形成自身網絡內的信息業務體系及安全防護管理體系,但在黑客攻擊手段不斷更新的情況下,現有防護監管體系已經不能完成滿足需要。內網高敏感應用、VPN等業務存在被仿冒登錄、數據竊取的風險,同時也存在一定的內部監督審計缺失的情況。


因此,啟明星辰集團制定了基于中國移動超級SIM卡的身份認證體系全面升級切換計劃,覆蓋多場景下遠程接入、移動辦公、分支辦公等內部網絡安全監管、安全運營及縱深防控體系,拉開了一體化信任體系建設的序幕。

上一篇 下一篇